«Агресор повинен потрапити до кам’яного віку». Заступник голови Держспецзв’язку Віктор Жора — про кібертероризм росії та опір України хакерським атакам

Віктор Жора — заступник голови Держспецзв’язку з питань цифрового розвитку, який півтора року тому прийшов у державний сектор з IT-бізнесу.

Ми поспілкувалися з ним про діяльність служби, кількість і характер кібернападів з боку рф за останні шість місяців та спроможності російських хакерів. Крім цього, Жора розповів, перед якими викликами його команда постала в перші тижні повномасштабної війни, яких помилок припускаються IT-компанії в питаннях кібербезпеки та для чого він своїм коштом поїхав на «хакерську конференцію» Black Hat у Лас-Вегасі.

«Війна в кіберпросторі почалась 14 січня»

— Ви вже півтора року як перейшли із приватного сектору в команду Держспецзв’язку. Чим було мотивоване це рішення?

Я прийшов у сферу кібербезпеки ще на початку 2000-х — втілював масштабні проєкти в приватній компанії, серед замовників якої був і державний сектор. А 2009 року став директором кібербезпекової компанії Infosafe IT, тож я чудово розумів нагальні потреби сфери, думаю, саме тому 2020 року мене запросили у Держспецзв’язку.

Погодився на цю пропозицію я геть не одразу — розмірковував близько пів року. Врешті поставився до цього як до особистого виклику. Мені здається, саме на той момент держава потребувала експертизи з кібербезпеки. А загалом четверо з шести керівників Держспецзв’язку, як і я, прийшли з приватного сектору.

— В інтерв’ю на початку цього року ви розповідали, що офіційно на Держспецзв’язку покладено 93 функції. Які з них стосуються кіберзахисту та як перерозподілились завдання з початком повномасштабної війни?

З кіберзахистом пов’язана лише незначна частина наших функцій. Напрямів роботи у нас безліч, ми ні на хвилину не припиняли роботу над ними навіть під час війни: продовжуємо надавати безперебійний захищений зв’язок для вищих осіб держави; регулюємо технічний та криптографічний захист інформації, електронних комунікацій, якими Держспецзв’язку опікується принаймні на період воєнного стану. І продовжуємо формувати та втілювати державну політику у сфері кіберзахисту.

У нас навіть з’являються нові функції — дві з них пов’язані з активною протидією агресії в кіберпросторі. Бо пасивний захист є недостатнім в умовах настільки інтенсивної агресії ворога, який атакує державні установи, приватні компанії та критичну інфраструктуру України.

— Чи посилювались кібератаки з боку рф в останні роки до повномасштабного вторгнення росіян?

Ми всі пам’ятаємо 27 червня 2017 року, коли сталася найбільш руйнівна кібератака у світовій історії — NotPetya, яка, за деякими оцінками, так чи інакше вплинула на 10% усіх українських компаній. 75% її «жертв» — з України. Ця глобальна кібератака торкнулася таких глобальних компаній, як Merc, Mondelēz, Maersk, FedEX тощо. Мені здається, саме після цього наша держава почала набагато серйозніше ставитися до викликів у кіберпросторі (чого не можу, на жаль, сказати про український бізнес).

На державному рівні почали опікуватись кадровими питаннями, правовим «каркасом» та платформами для розбудови сервісів кібербезпеки. Це фактично було поштовхом до створення Національної системи кібербезпеки України.

Ми ще більше прискорились в останні два роки, у тому числі за підтримки президента України започаткували реформу кібербезпеки, в межах якої перейняли багато міжнародних стандартів, сфокусувалися на критичній інфраструктурі, запустили Кіберцентр UA30, проводимо повноцінні кібертренінги для компаній та фізичних осіб. Також стали розбудовувати дата-центри для обробки та збереження державних електронних інформресурсів.

Ці ініціативи допомогли зустріти 2022 рік більш підготовленими.

З часу NotPetya не було таких же за масштабом деструктивних атак, тож ми використали цей період відносного затишшя для реформ. Хоча, звісно, за останні 4–5 років команда реагування на надзвичайні комп’ютерні події CERT-UA реєструвала тільки збільшення кількості кібератак.

Уночі 14 січня 2022 року сталася руйнівна атака, під час якої зламали десятки державних сайтів, змінили контент на їхніх сторінках, знищили інформаційні інфраструктури деяких відомств. Також були поодинокі випадки застосування вайперів — це спеціалізоване програмне забезпечення, яке знищує дані або шифрує їх без можливості відновлення. Тобто це була комплексна спеціальна операція з кіберкомпонентом для досягнення інформаційно-психологічних цілей. І якщо військова частина широкомасштабної агресії проти України почалася 24 лютого, то в кіберпросторі такою датою можна вважати 14 січня.

У середині лютого ми спостерігали безпрецедентні DDOS-атаки на банківську систему, органи державної влади. 23 лютого так само було вельми насиченим кіберінцидентами, які тримали нас у напрузі аж до 5:00 ранку 24 лютого. Після чого почалася нова сторінка в історії кібервійни, адже з цього моменту ми можемо розцінювати всі кібероперації проти України як ті, що підтримують військові операції безпосередньо на полі битви.

«У перші години війни порушили роботу мережі супутникового зв’язку Viasat — це один з найгучніших кейсів за ці пів року»

— Ви вже згадували команду реагування на надзвичайні комп’ютерні події CERT-UA. Можете розказати про її роботу, скільки людей там залучено?

На жаль, я не можу назвати точної кількості учасників команди. Але скажу, що у нас є й інші, більш численні підрозділи з кіберзахисту. Це десятки фахівців різного профілю, які безпосередньо розслідують кіберінциденти, опрацьовують звернення до уряду, допомагають відновлювати пошкоджену інфраструктуру. Команда CERT-UA існує з 2007 року. 1 січня 2009-го вона отримала акредитацію у Міжнародному форумі таких же команд під назвою FIRST. Ми є єдиними з України, хто акредитований у цій спільноті, яка налічує понад 600 команд. Це дозволяє нам взаємодіяти з усіма схожими підрозділами в різних країнах світу: обмінюватись досвідом, знаннями, інформацією про загрози, своєчасно отримувати сигнали про атаки.

Наприкінці червня, навіть попри очевидні складнощі, ми все-таки змогли приїхати на щорічну конференцію FIRST і виступити з презентацією про основні кіберінциденти та атаки, які трапилися в Україні з початку цього року. Інтерес до теми колосальний, і ми намагаємось використовувати будь-які можливості, щоб розповісти світовій спільноті про кіберагресію проти України.

— Які були головні виклики для Держспецзв’язку у перші дні повномасштабної війни?

Як я вже згадував, 23 лютого відбулися значні кібератаки проти українських систем, продовжувались DDOS-атаки. Були серйозні напади на державні ресурси. Ще вночі я мав кілька тривалих розмов щодо цього і ліг спати тільки о 3:30, усвідомлюючи, що, ймовірно, зранку буде вторгнення. Але засинав з думкою: «Раптом пронесе, раптом не сьогодні!». На жаль, не пронесло.

З кіберзахистом пов’язана лише незначна частина наших функцій

24 лютого ми діяли відповідно до мобілізаційних планів. Усі службовці прибули за місцями розташування та виконували завдання, серед яких основними були забезпечення безперебійної роботи Держспецзв’язку і наших сервісів, а також безпеки особового складу. Наступні дні ми розривалися між нагальними завданнями, які я згадував вище, та налагодженням ефективної роботи підрозділів.

— 4 квітня Служба безпеки України повідомила, що спецслужби росії у ніч на 24 лютого планували знищити весь кіберзахист нашої країни — було зафіксовано найбільшу кількість хакерських атак на українські системи. Чи був схожий сплеск з того часу?

Тоді це було зроблено для того, щоб завдати психологічного тиску та отримати якомога більшу перевагу в кіберпросторі: зруйнувати нормальну роботу електронних послуг, створити складні умови для спеціалістів з кібербезпеки. Зокрема, в перші години війни порушили роботу мережі супутникового зв’язку Viasat, відповідно неможливо було використовувати її для комунікації. Це один з найгучніших кейсів за ці пів року. Після чого відбиття атак агресора стало нашою щоденною роботою.

Якщо порівнювати з аналогічними періодами минулого року, в перший місяць після повномасштабного вторгнення ми фіксували втричі більшу кількість кібератак. Щільність їх продовжує зростати щодня. Ми уже мали змогу протидіяти технічно складним атакам і запобігти порушенню роботи важливих інформаційних систем, включаючи критичну інфраструктуру.

«росія зрощувала кібертероризм роками»

— З професійного погляду, наскільки нині захищені в кіберпросторі критичні об’єкти інфраструктури України?

Досвід показує, що за шість місяців повномасштабної війни нам вдалося запобігти серйозним інцидентам у критичній інфраструктурі. При тому, що насправді ворог, у якого немає жодної мотивації стримувати себе, доклав чимало зусиль у пошуках слабких місць, можливостей нас атакувати та заподіяти значної шкоди.

Як ми всі знаємо, абсолютного захисту від атак не існує, тому ніхто не розслабляється. В агресора величезний потенціал до їх продовження, щодня він намагається знайти вразливості в наших системах і поцілити в них. Тож стан безпеки критичної інфраструктури ми моніторимо 24/7 і готові відбивати кібератаки.

Те, що Україна, попри безпрецедентну, неймовірну агресію, демонструє високий ступінь кіберстійкості, підтверджує, що ми були на правильному шляху всі ці роки.

— А що в цьому плані ще варто посилювати?

По-перше, не всі організації, на жаль, достатньо захищені, тож варто продовжувати зміцнювати наші рубежі в кіберпросторі: більше рішень, інтеграції, охоплення.

По-друге, варто фокусуватись на підготовці кадрів. Нещодавно на базі Державного біотехнічного університету з нашою допомогою був створений Institute Cyberport, де готуватимуть фахівців з кібербезпеки, комп’ютерної інженерії, ІТ-фінансів, ринку криптовалют.

По-третє, варто покращувати взаємодію з приватними компаніями, держорганами. Ми існуємо для того, щоб допомагати державі, бізнесу, громадянам, у нас є можливості зберігати резервні копії критичних інформаційних ресурсів, проводити аудити безпеки, оцінку захищеності, тому ми спонукаємо інформувати нас про всі кібербезпекові проблеми. Якщо йдеться про критичну інфраструктуру, у нас уже визначено 12 сфер і є регулятори.

Ще один наш пріоритет — тісні партнерські відносини за тією ж моделлю, за якою працює CERT-UA у межах спільноти FIRST. Як з глобальними провайдерами у сфері ІТ, так і з урядами, профільними агенціями по всьому світові. Бо кібербезпека — це чотири стовпи: технології, процеси, люди та взаємодія.

— Якого типу кібератаки здійснює рф?

Можу годинами про це розповідати. Усі ми розуміємо, що більшість кібератак на Україну здійснюються з російської федерації та республіки білорусь. росія зрощувала кібертероризм роками, фактично почавши свою кіберагресію проти цивілізованого світу з атак на Естонію 2007-го.

Впродовж останніх восьми років наша країна була однією з основних цілей російських хакерів. Торік Сполучені Штати були найбільш атакованою в кіберпросторі країною, а Україна — на другому місці. Авжеж, США — це найбільш розвинута економіка світу, тому до неї прикута увага кіберзлочинців, які намагаються здобути фінансову вигоду. Ключова відмінність, яку ми нині простежуємо: у фокусі наших партнерів протидія ransomware — шкідливому програмному забезпеченню, яке шифрує дані та вимагає викуп. Щодо нас таке ПЗ зловмисники рідко використовують, натомість обирають уже згадувані вайпери — програми, які роблять те саме, проте не вимагають викупу, а спрямовані на знищення даних, руйнування інформаційних інфраструктур.

Ще серед методів: злами сайтів, поширення через них пропаганди, неправдивої інформації, що є підривною діяльністю, інформаційно-психологічними операціями проти України; порушення функціонування операторів передачі даних, операторів зв’язку, втручання в медіасферу, перехоплення телевізійних і радіоефірів. Йдеться про порушення сталої роботи державних електронних сервісів; спроби зламу мереж у намаганні здобути бази даних, інформацію про громадян, іншу чутливу інформацію; атаки на фінансовий сектор, намагання викрасти кошти, заблокувати роботу фінансової системи, DDOS-атаки, спрямовані на важливі вебсервіси та вебресурси; розповсюдження шкідливого програмного забезпечення; фішингові атаки проти конкретних високопосадовців і публічних осіб; атаки на ланцюжки постачання, енергетичний сектор та іншу критичну інфраструктуру.

«Зараз у ворога немає визначеної стратегії»

— Протягом шести місяців війни урядова команда CERT-UA зареєструвала 1123 кібератаки. Здебільшого хакери атакують уряд і місцеві органи влади, сектори безпеки та оборони. Там також є графа «інше». Проти чого спрямовані такі атаки?

Я назвав основний фокус атакувальників. Але це не означає, що всі інші організації можуть спати спокійно. На наш погляд, зараз у ворога немає визначеної стратегії — це така опортуністична, хаотична діяльність, спрямована на пошук вразливостей і слабкостей у захисті, спроби здобути доступ до мереж, інформаційних систем, і вже потім — визначення, що робити з цим доступом, якої шкоди завдати.

Це може бути знищення даних та інфраструктур, викрадення даних для розвідувальних цілей (а якщо йдеться про громадян, особливо на окупованих територіях, — для проведення фільтраційних заходів) тощо. Ще ми спостерігали в кількох регіонах, коли ракетні обстріли збігалися з атаками на ресурси державної влади, місцеві медіаресурси або регіональних операторів зв’язку, щоб порушити комунікацію.

— В останньому випадку це здебільшого посилення психологічного ефекту чи реалізація стратегічних цілей?

Важко сказати, яку стратегічну ціль це може мати у разі зламу, дефейсу сайтів органів місцевого самоврядування. Стратегічна мета — нас залякати, створивши ілюзію домінування агресора в усіх сферах: військовій, інформаційній, кіберпросторі тощо. Це намагання зламати наш опір. Але ми сильні — і всі ці спроби будуть марними.

— Наскільки великої шкоди завдають ці кібератаки Україні?

Ця шкода проявляється й у репутаційних втратах, у тому, що ми вимушені докладати більше фінансів, зусиль, людиногодин для побудови систем захисту. Через атаки можна втратити дані, інколи безповоротно, а інколи доведеться вдаватись до резервних копій.

Наміри ворога — завдати нам якомога більшої шкоди. Чи досягають вони успіху? Поки що ні. Попри значну кількість кіберінцидентів і кібератак, які трапилися з початку цього року, мені здається, що жодних стратегічних цілей супротивник не досяг.

Чим кібератака відрізняється від кіберінциденту:

Кібератака — спрямовані (навмисні) дії в кіберпросторі, які здійснюються за допомогою засобів електронних комунікацій та спрямовані на заподіяння шкоди.

Кіберінцидент — подія або низка несприятливих подій ненавмисного характеру (природного, технічного, технологічного, помилкового, у тому числі внаслідок дії людського фактора) та/або таких, що мають ознаки можливої (потенційної) кібератаки.

Супротивнику не вдалося зламати опір кіберзахисників, залякати суспільство або наших партнерів. Вони досягли зворотного ефекту: об’єднали величезну кількість волонтерів для протидії агресору. Навіть голова Центру урядового зв’язку Британії констатував програш путіним інформаційної війни, у тому числі завдяки нашій кібердіяльності.

Я хотів би підкреслити, що насправді навіть під час війни ми чуємо чимало критики на нашу адресу й на адресу колег з інших відомств. Але повірте, весь світ аплодує стоячи, коли на закордонну подію приїздить представник України. Усі партнери висловлюють захоплення щодо того, як нам вдалося забезпечити таку високу кіберстійкість держави у непростий період.

Якщо ми до цього були реципієнтом допомоги — переймали підходи, стандарти, алгоритми дій, то зараз усім цікаво дізнатися, як нам вдалося захистити державу. І ми наполягаємо на об’єднанні зусиль світу в протидії цій кіберагресії, адже не існує країн, які можуть самостійно захистити себе перед такими глобальними викликами. Інформування наших партнерів, просування інтересів України та взаємодія як з державами, так і з партнерськими агенціями, бізнесом, отримання допомоги — це окремий величезний фронт робіт.

— Ви кілька разів згадували міжнародну співпрацю. З якими корпораціями налагоджено зв’язки? Вони самі пропонують допомогу чи ви звертаєтесь до них?

По-різному. Але здебільшого комерційні гравці й іноземні уряди самостійно пропонують допомогу. Зараз триває боротьба добра і зла, тут немає сірих зон. Мабуть, увесь світ визнає колосальну несправедливість щодо України і те вселенське зло, яке на території нашої держави чинить російська федерація. Це спонукає до співчуття та допомоги Україні. Кожен хоче зробити свій внесок. Тому більшість, звісно, пропонує її абсолютно безплатно. Важко навіть згадати, з ким не взаємодіє Міністерство цифрової трансформації та інші суб’єкти забезпечення кібербезпеки. Тому було б не дуже коректно когось виокремлювати.

Але можу згадати один з небагатьох публічних кейсів, яким можна поділитись із широким загалом. На початку квітня ми запобігли кібератакам на одну з регіональних енергорозподільчих компаній з використанням шкідливого програмного забезпечення Industroyer2. Для цього ми плідно співпрацювали з компаніями Microsoft, ESET, Cisco Talos. Це була, мабуть, одна з найскладніших і найнебезпечніших кібератак за останні шість місяців. Про неї ми говоримо публічно, бо вона має надзвичайну значущість для подальшого формування доказової бази тих злочинів, які чинить російська федерація.

— Ви ще згадали іноземні уряди. З якими країнами найбільше співпрацюєте?

Це ті партнери, які підтримували нас і до повномасштабної війни: країни Європейського Союзу, Велика Британія, США, Канада тощо. Інтенсивний діалог йде з Польщею, країнами Балтії, Румунією. Також ми спілкуємось з колегами з Японії та Сингапуру. Але зараз концентруємося не тільки на партнерстві в широкому сенсі, а й на встановленні рівних відносин з різними країнами. Ще з минулого року ми підтримували формат так званих кібердіалогів. Але мені здається, тоді вони мали дещо декларативний, формальний характер. А зараз навіть у межах цих діалогів ми маємо змогу говорити про практичні речі: допомогу, спільні зусилля протидії кіберагресії.

«Агресор повинен потрапити до кам’яного віку та замість сучасних комп’ютерів рахувати на арифмометрах»

— Остання цифра, яку ви називали — 1600 великих кібернападів з початку року. Про які ще публічні кейси можете розповісти?

Постраждали сотні українських компаній. І ця цифра, яку я озвучив 9 серпня, зростає щодня. Наш ворог веде телеграм-канали, різні групи XakNet, Killnet, Cyber Army of Russia, де не тільки демонструє нові цілі та закликає нападати на них, а й звітує про певні успіхи. Хоча це не означає, що все з написаного є правдою. Про цілі так само: буває так, що після появи у цих каналах заклику до атак нічого не відбувається, не фіксується жодна активність.

Серед підтверджених публічних кейсів я вже назвав Industroyer2, атаку на Viasat. Також відомо про атаки на Укртелеком, МЗС, урядовий контакт-центр, обласні державні адміністрації (це, на жаль, відбувається постійно). Організаціям, які постраждали, ми допомагаємо відновитись, проводимо розслідування, отримуємо докази, взаємодіємо з правоохоронними органами, кіберполіцією, СБУ. І так само допомагаємо посилювати захист.

— 1600 — це кількість великих кібернападів. А якщо говорити загалом про всі випадки?

1600 — це інциденти, зареєстровані урядовою командою CERT-UA, а не загальна кількість кіберінцидентів у країні. Це те, про що ми знаємо та безпосередньо опрацювали. Наш Security Operations Center фіксує мільйони підозрілих подій, які через механізми кореляції та більш глибоке дослідження можуть уже агрегуватись у кіберінциденти, що передаються для подальшого розслідування в урядову команду. Тобто загалом мережевих атак на державні інформаційні ресурси — сотні тисяч.

Ще до війни ми щотижня фіксували до 50 тисяч нападів, які відбивали наші системи захисту в Державному центрі кіберзахисту. І це, звісно, не все. Тому ми повинні поширювати кібермоніторинг на всю країну і розвивати кібербезпекові проєкти.

Зараз триває боротьба добра і зла, тут немає сірих зон

— 30 червня у Держспецзв’язку заявили: інтенсивність кібератак від початку повномасштабного вторгнення не зменшується, але знижується їхня якість. Можете прокоментувати?

Упродовж першого місяця ми зафіксували рекордну кількість кібератак, але водночас вони не були технічно складними, руйнівними та не мали особливого успіху. Противник використав цей час для підготовки до більш серйозних нападів. Як приклади можу навести той самий Industroyer2, атаку на Укртелеком або МЗС. Усі ці інциденти трапилися наприкінці березня або на початку квітня.

Починаючи з літа, ми побачили невеликий спад активності, якщо порівнювати з першими місяцями повномасштабної війни. Чи може це свідчити про якусь тенденцію? Мені здається, рано робити висновки. Але той факт, що ми зараз не спостерігаємо атак, подібних до весняних, може свідчити про багато речей. Наприклад, про те, що, можливо, технологічні санкції проти рф і зусилля світової спільноти щодо зниження її атакувального потенціалу є дієвими.

Адже для підготовки кожної кібероперації потрібні ресурси: для закупівлі експлойтів, zero-days — спеціального інструментарію, а також для залучення фрилансерів і «чорних» хакерів зовні; ресурси для створення атакувальних інфраструктур всередині країни або на зовнішніх хостингах, що зараз є дещо ускладненим, оскільки всі розвідки світу спостерігають за цим, зокрема за операціями в даркнеті.

При цьому агресор уже не має змоги використовувати таке програмне й апаратне забезпечення, яке було раніше. Не можна створити інфраструктуру для кібератак з нічого. Тому мені хотілося б вірити, що це індикатор дієвості санкцій. І сигнал для нас і світового товариства посилювати їх.

— Як ви вважаєте, які ще санкції потрібно ввести або посилити?

Заборону передачі технологій в рф. Агресор повинен потрапити до кам’яного віку та замість сучасних комп’ютерів рахувати у найкращому разі на арифмометрах. Він не повинен мати ліцензії для програмного забезпечення, отримувати високотехнологічне, серверне обладнання для підготовки структур для нападу, мати кошти для фінансування військової та кіберагресії. Все те, що послаблює агресора — у наших інтересах. Звісно, важко порівнювати дієвість технологічних санкцій з нафтовим або газовим ембарго. Але думаю, якби була змога запровадити повне IT-ембарго щодо рф, це б суттєво допомогло.

«Деякі кіберзлочинці приєдналися до злочинних терористичних угруповань рф»

— Як ви оцінюєте спроможності російських хакерів?

Їхні атакувальні групи розділяються на три типи:

  • Перший тип: військові хакери, які можуть асоціюватися з різноманітними угрупованнями — APT28, Armageddon тощо. Ці люди виконували схожі завдання, мають відповідні навички та досвід.
  • Другий тип: деякі кіберзлочинці, які приєдналися до цих злочинних терористичних угруповань рф, а до того тривалий час, наприклад, атакували західні фінансові інституції. Зараз вони або отримали наказ, або за «покликом душі» приєдналися до кіберагресії росії. Серед них є висококваліфіковані хакери, які можуть розробляти інструменти, мають широкі зв’язки в даркнеті з іншими угрупованнями. Та зазначу, що насправді тих, хто це підтримує, меншість.
  • Третій тип: це так звані script kiddies: волонтери, які об’єднуються в телеграм-каналах і долучаються до атак на українські ресурси.

Тобто це абсолютно різні за досвідом, навичками люди, які мають різну мету: хтось виконує свою роботу, хтось є політично вмотивованим; інші, можливо, отримують накази та не можуть відмовити. Але їх усіх характеризує одне — це атаки проти демократичної, вільної, незалежної України. І я сподіваюся, що цим деструктивним діям у майбутньому дадуть належну правову оцінку.

— У березні ви казали, що кіберопір України у вашому відомстві оцінюють в 400 тисяч осіб. Чи змінилася ця цифра? Чи зберігається така сама активність, як і на початку повномасштабної війни?

Мені здається, кількість активістів дещо зменшилася. Важко сказати, наскільки суттєво. Багато хто пішов на фронт. Плюс спочатку люди хотіли завершити війну нашою перемогою якнайшвидше та готові були повністю віддатися справі, але кожен повинен годувати родину. Помітна втома за ці шість місяців. І знижується фокусування на волонтерській допомозі. Але попри все ви бачите, що кількість підписників у телеграм-групах досі є значною.

«Частина бізнесу не відчуває довіри до тієї експертизи, яку пропонують державні структури»

— До приходу на службу в Держспецзв’язку ви мали досвід роботи в IT-бізнесі, тож знаєте його недоліки зсередини. Яких помилок, на ваш погляд, наразі припускаються українські IT-компанії в питаннях кібербезпеки під час масштабної війни з росіянами?

Серед жертв, з якими нам доводиться мати справу, на жаль, є ІТ-компанії. І одна з їхніх основних помилок — уявне відчуття безпеки: коли технологічні процеси на високому рівні, але при цьому притупляється пильність. А безпека — це і стан, і процес одночасно. Навіть так: це процес, спрямований на підтримання стану.

Я розумію складнощі, з якими зіткнулися ІТ-компанії: переміщення персоналу, інфраструктур, офісів. Усе це потребує як дублювання тих інструментів захисту, які існували раніше, так і створення нових. Логічно, що десь не вистачає ресурсів, кадрів. А іноді — фокусу. Це об’єктивно дестабілізаційні фактори. Але нехтування кібербезпекою вже є помилкою, іноді з боку керівництва, яке не до кінця усвідомлює загрозу, не повною мірою готове інвестувати як в технології, так і в кадри.

— В одному з інтерв’ю ви казали, що в Україні буде посилена відповідальність за недотримання вимог кіберзахисту. Це стосуватиметься держсектору чи не тільки?

Це стосується насамперед критичної інфраструктури та компаній, які взаємодіють з держсектором. Атаки через постачальників послуг є достатньо поширеними. Тож попри те, що органи державної влади вже приділяють значну увагу захисту, це не завжди роблять приватні IT-фірми. Тому ми хочемо максимально убезпечити критичну інформаційну інфраструктуру й органи державної влади від подібних атак.

— Як відбуватиметься перевірка?

Ми зараз готуємо відповідний законопроєкт. Важко оцінювати строки. Але сподіваюсь, що вже цього року матимемо законодавчу базу та розроблені вимоги до учасників ринку.

— У березні Держспецзв’язку запустила ініціативу — адресну допомогу у «захисті від DDOS-атак, моніторингу безпеки, міграції в хмарні середовища, розгортанні сучасних систем захисту від кіберзагроз робочих станцій і серверів тощо» для держави та бізнесу.

Раніше ви казали, що звернутися по допомогу може будь-який фахівець, просто надіславши заявку на пошту. Чи багато установ, компаній уже звернулося? Які результати цієї ініціативи?

Так, до нас зверталися організації. Скажу відверто: не в такій кількості, на яку ми очікували. Хоча той обсяг допомоги, який ми акумулюємо і яким готові ділитися у вигляді насамперед програмного забезпечення, інструментів посилення захисту інфраструктур — величезний.

Щоправда, якщо на початку війни допомога від партнерів надходила масово, то тепер вона стає більш адресною. Але ми все одно продовжуємо контактувати з десятками глобальних компаній.

Ми намагаємося посилювати кібербезпеку не тільки в державному секторі, а й у приватному. Бо ворогу загалом усе одно, кого атакувати, — аби лише завдати максимальної шкоди. Шкода економіці, порушення роботи бізнесу для них є чудовою ціллю. Тож ми відчуваємо відповідальність за те, щоб не тільки органи державної влади та підприємства критичної інфраструктури були захищені, а й ті компанії, які продовжують працювати, сплачувати податки до бюджету та підтримувати нашу економіку.

— Як ви думаєте, з чим пов’язано те, що до вас звернулося не так багато компаній і установ, як ви очікували?

Не всі розуміють необхідність кіберзахисту — цей фактор є одним з визначальних. Інша причина — частина бізнесу не відчуває довіри до тієї експертизи, яку пропонують державні структури. Хоча до нас приєдналась така кількість експертів екстракласу, що експертиза Держспецзв’язку зараз найвища на українському ринку.

Третій фактор — недостатня поінформованість про ініціативи. І наостанок, думаю, деякі просто бояться показати те, що насправді недостатню увагу приділяли захисту інформації, кібербезпеці. Ми постійно стикаємося з цим.

«Важко перекинути війська зі сходу України ближче до території іншої держави, а в кіберпросторі це робиться дуже швидко»

— Нещодавно ви відвідували «хакерську конференцію» Black Hat у Лас-Вегасі. Можете розповісти, яку мету мав ваш візит, чиїм коштом ви його здійснили?

Я був уже у кількох відрядженнях, починаючи з цього літа. Як тільки нам вдалося плюс-мінус стабілізувати роботу служби, процеси реагування на кібератаки, з’явилася потреба прямої комунікації з партнерами. Усі поїздки, які були за цей час, фінансували міжнародні партнери або я власним коштом, як це було на Black Hat. Але це не моя ініціатива, а службове відрядження.

Black Hat — найбільший форум з кібербезпеки, де зі всього світу збираються і відповідні спеціалісти, і хакерська спільнота, і виробники, для яких є величезне виставкове приміщення. Туди ж приїжджають представники агенцій, силових структур США й інших країн. Цього року була вже 25-та така конференція. Щонайменше три доповіді на ній були присвячені Україні. За два дні перебування у Лас-Вегасі я дав більше десятка інтерв’ю.

— Які основні тези ви намагались донести?

Основні тези: ворог підступний і дуже підготовлений, Україна продовжує ефективно протистояти атакам (здебільшого на елементи цивільної інфраструктури), нам важко це робити наодинці, ми потребуємо допомоги. І, усвідомлюючи те, що кібервійна триває в глобальному масштабі, готові ділитися досвідом, співпрацювати з партнерами.

Важко перекинути війська зі сходу України ближче до території іншої держави. А в кіберпросторі це робиться дуже швидко: сьогодні вони атакують Україну, а завтра, приміром, країни Балтії. Адже всі ці «говорящие головы» з Killnet або інших вивісок, які фактично є рупором Кремля та кремлівських спецслужб, уже заявили, що у них є список з десятьох держав, які вони атакуватимуть. І вони по ньому йдуть. Наші союзники серйозно ставляться до цих викликів. Вони розуміють, що сьогодні Україна — завтра вони.

— Ваші слова: «Україна протягом багатьох років була тестовим майданчиком атак російських хакерів. Підходи та технології, які були „відтестовані“ на українській інформаційній інфраструктурі, вони використовують і в інших країнах». Можете прокоментувати та навести приклади?

Перша найбільш руйнівна в історії атака трапилася в Україні — NotPetya. Як і найперша атака на енергетичний сектор — BlackEnergy 3 у 2015 році. Найперша атака на систему управління технологічними процесами в енергетиці трапилася у 2016-му в Україні — це перший Industroyer. Як, можливо, і перша атака на виборчу систему. Але мені не дуже приємно називати Україну «тестовим майданчиком». Насправді не всі технології, які проти нас використовували, потім використовувались проти інших країн. Але те, що ми впродовж восьми років були одним з основних об’єктів російської кіберагресії — це факт. І те, що вони випробовували у нас нові технології атак, технік, програмного забезпечення тощо — теж, на жаль, є фактом.

Все про українське ІТ в Телеграмі — підписуйтеся на канал редакції DOU

👍ПодобаєтьсяСподобалось7
До обраногоВ обраному0
LinkedIn



1 коментар

Підписатись на коментаріВідписатись від коментарів Коментарі можуть залишати тільки користувачі з підтвердженими акаунтами.
Це стосується насамперед критичної інфраструктури та компаній, які взаємодіють з держсектором

Но реестров той самой инфраструктуры у нас как не было — так и нет...

Підписатись на коментарі